在试图确保我的 iMac 上没有威胁时,我使用 Bitdefender 执行全面扫描,我发现了这个
ls -la运行的输出/dev/fd:
ls -la
total 11
dr-xr-xr-x 1 root wheel 0 Nov 25 16:43 .
dr-xr-xr-x 3 root wheel 5426 Nov 25 16:43 ..
crw---w--- 1 ahmedyounes tty 16, 1 Nov 26 03:42 0
crw---w--- 1 ahmedyounes tty 16, 1 Nov 26 03:42 1
crw---w--- 1 ahmedyounes tty 16, 1 Nov 26 03:42 2
dr--r--r-- 1 root wheel 0 Nov 25 16:43 3
dr--r--r-- 1 root wheel 0 Nov 25 16:43 4
dr--r--r-- 1 root wheel 0 Nov 25 16:43 5
我怎样才能清除这个威胁,即使它只是 .exe 注册机?这种威胁的来源可能是什么?
感谢 Scott、duskwuff 和 JigglyNaga 解决后更新
奇怪的是,我无法从 iMac 上删除它,直到我从该网站转到 Gmail 并找到它。
答案1
我不会说这应该被忽视,但我同意暮色那 这推介会的 该消息纯属无稽之谈。我同意,即使 Bitdefender 在 中发现了某些内容
/dev/fd/9,它也是特定于并本地化到当时正在运行的进程的,并且您现在不会在 中找到任何内容/dev/fd。我建议你- 研究消息中的“Salfeld.Child.Control”、“BRD\BRD\keygen\Keygen.exe”和其他字符串,以及
- 购买另一种防病毒产品。
Bitdefender 屏幕谈论“消息”和“主题”行。您的系统上有电子邮件吗?是否有主题为“儿童控制”的消息?问题可能就在那里。当心;如果邮件有附件,不要打开它们。
- 您的问题标题错误;你的问题中没有任何关于“tty”的内容。该问题已在 fd 9 中报告;您的问题中唯一的 tty 是文件描述符 0、1 和 2。
答案2
这个结果是无稽之谈,应该被忽视。该防病毒软件存在严重问题。
macOS 上的对象/dev/fd不是文件——它们代表当前进程打开的文件描述符。 “扫描”文件描述符是否有病毒是没有意义的,尝试“隔离”文件描述符更没有意义。
答案3
您下载了电子邮件存档,病毒扫描程序对其进行了扫描,并在某些附件中发现了恶意软件。
两封电子邮件都有一个名为 的附件Salfeld.Child.Control.2008.v9.975.0.0.rar,并且在该 Rar 存档内有一个名为“Keygen.exe”的文件。完整的目录名称Salfeld.Child.Control.2008.v9.975.0.0.WinALL.Incl.Keygen-BRD 建议该档案包含两者萨尔菲尔德的“儿童控制”产品,和一个密钥生成器为了它;病毒扫描程序认为“keygen”可执行文件实际上是恶意的。
现在,由于某种原因,病毒扫描程序无法向您显示它发现检测到的文件的绝对路径。这可能是因为它在下载过程中扫描电子邮件,然后再保存到磁盘;或者可能是因为它正在扫描包含 10 年电子邮件的存档,并且需要(暂时)将它们提取到某个地方。
不管怎样,它的后备措施是报告无意义的内容/dev/fd/<number>(这只是扫描仪进程的有效文件句柄),然后是一些更有用的详细信息:电子邮件主题和日期、附件名称以及 Rar 存档中的文件名。
如果您要找到该电子邮件,将“.rar”附件保存到磁盘并重新扫描它,或者甚至提取 Rar 并单独扫描“keygen.exe”,我希望您会看到相同的结果:“Worm.generic .269236”。 如果您不明白这里发生了什么,我强烈建议您不要解压存档,即使在 Mac 上也是如此。相反,如果您对此检测是否正确有任何疑问(例如,您认为该文件确实是密钥生成器,仅此而已),您应该直接联系防病毒支持。
(全面披露:我在另一家防病毒公司工作。)